Depuis plus de 10 ans maintenant, le Luxembourg participe aux travaux de normalisation du comité ISO/IEC JTC 1/SC 27, en charge des techniques de la sécurité de l’information. Il est l’un des plus actifs dans le domaine de la normalisation, avec plus de 150 normes publiées à ce jour et plus de 50 pays impliqués dans leur élaboration
Le périmètre de travail du comité est très large puisqu’il couvre notamment les sujets suivants : risk management, Information Security Management System (ISMS), cloud security and privacy, cryptography, identity and access management, Public Key Infrastructure (PKI), cyber security, cyber resilience, digital forensics, Internet of Things (IoT), data privacy, biometry… et bien d’autres encore.
La participation du Luxembourg se traduit, en plus de la contribution des experts aux projets de normes internationales, par l’implication de certains d’entre eux dans les réunions internationales du comité, et dans la prise en charge de travaux d’édition. « Les éditeurs de normes sont les chevilles ouvrières d’un comité de normalisation, car responsables d’un point de vue rédactionnel de ces documents. Ils sont au nombre de 2 ou 3 par norme, et utilisent les contributions des pays participants pour développer un document consensuel à même d’être publié », précise Benoit Poletti, Président du comité pour le Luxembourg.
Des experts luxembourgeois ont par exemple été éditeurs pour les normes suivantes :
- ISO/IEC 27010, Gestion de la sécurité de l'information des communications intersectorielles et interorganisationnelles ;
- ISO/IEC TR 27015, Lignes directrices pour le management de la sécurité de l'information pour les services financiers ;
- ISO/IEC 27036-2, Sécurité d'information pour la relation avec le fournisseur -- Partie 2: Exigences.
Focus sur les travaux en cours
L’ISO/IEC JTC 1/SC 27 est divisé en 5 groupes de travail qui se partagent les différentes thématiques de travail du comité. Le premier (WG 1) a développé toutes les normes concernant la gestion de la sécurité de l’information et notamment la norme phare ISO/IEC 27001. Elle contient des exigences précises pour la mise en place d’un ISMS et est complémentaire de la norme ISO/IEC 27002, qui contient une liste de 114 mesures de sécurité techniques et organisationnelles et des recommandations qui concernent toutes les organisations y sont associées.
Signalons également que la norme ISO/IEC 27006, qui détaille les exigences concernant la certification ISO/IEC 27001, vient d’être mise à jour en 2015. Cette nouvelle version fixe un cadre plus strict pour calculer le temps d’audit, ce qui garantira davantage d’équité entre les organismes de certification en harmonisant la durée des audits.
Les experts luxembourgeois sont également investis dans la révision de la norme ISO/IEC 27005 sur la gestion des risques, qui a fait l’objet de nombreuses discussions lors des dernières réunions internationales et progresse difficilement. « C’est la participation active à ces débats qui m’a permis de comprendre différents points de vue, mais aussi les intérêts économiques derrière ces normes », s’explique Carlo Harpes, Coordinateur des contributions luxembourgeoises au WG 1, « Nous avons un rôle à jouer et un savoir-faire à mettre en valeur. Les illustrations d’indicateurs de performance pour ISO/IEC 27004 ou les mesures sectorielles pour les institutions financières dans ISO/IEC 27015 sont des exemples de nos contributions ».
Le WG 4 est également très actif au niveau national. Il traite des contrôles et services de sécurité et aborde les problématiques émergentes et les besoins en sécurité liés à l’extension des Technologies de l’Information et de la Communication (TIC) dans les organisations. « Les normes et lignes directrices de ce groupe de travail se positionnent en support pour la mise en œuvre concrète des mesures de sécurité de la norme ISO/IEC 27001 », présente Cédric Mauny, Vice-Président et Coordinateur de ce groupe de travail pour le Luxembourg.
Deux grands domaines et problématiques sont abordés : la gestion du cycle de vie des systèmes d’information ainsi que des incidents de sécurité (ISO/IEC 27035). Les normes phares traitent par exemple de cybersécurité (ISO/IEC 27032), de la sécurité des réseaux (ISO/IEC 27033) ou encore de la relation avec les fournisseurs (ISO/IEC 27036).
Cédric Mauny précise : « Considérant que la majorité des problèmes de sécurité proviennent de faiblesses dans le design et le développement, il est important de considérer les aspects de security-by-default et de security-by-design. La connaissance et l’application de ces normes permettent d’atteindre ces objectifs sans avoir à réinventer la roue tout en profitant des réflexions d’experts mondiaux réunis par le consensus ».
Un grand axe de travail du WG 4 concerne une série de huit normes sur le thème de la sécurité des applications (ISO/IEC 27034). « Le Luxembourg a tout son rôle à jouer dans la perspective de la normalisation d’un Secure Software Development LifeCycle comme fondation d’applications plus sûres : le security-by-design dans toute son application. Surtout quand un des éditeurs travaille sous bannière luxembourgeoise ! », commente Cédric Mauny.
Finalement, pour compléter ce tour d’horizon, le WG 2 est en charge des algorithmes et processus cryptographiques, le WG 3 des critères de certification de produit et service de sécurité et le WG 5, des aspects de privacy, tout particulièrement dans la perspective de la General Data Protection Regulation (GDPR).
Si vous êtes intéressés à participer à ces travaux et rejoindre la communauté des experts nationaux, l’ILNAS, organisme luxembourgeois de normalisation propose une inscription gratuite aux comités de normalisation. Pour plus de renseignements, vous pouvez nous contacter à l’adresse anec@ilnas.etat.lu.